https中的cookie安全吗？

Question

我知道 cookie 和 session id 被加密然后发送给客户端，这样中间人就看不到 cookie 的值了。

我的问题是，假设我登录了一个 https 站点并离开计算机一段时间。然后我的一个朋友很快就去浏览器的开发者工具获取cookies。他以后可以使用这些 cookie 来入侵我的帐户吗？

如果是，如何开发网站，以便即使有人获得我的 cookie 值和会话 ID，他也无法破解我的帐户。

Answer 1

如果您的“朋友”可以访问您的浏览器，他就可以看到 cookie，并使用它们窃取您连接到任何网站的会话。

HTTPS 仅保护您的计算机与网站之间的通信。您计算机中的所有内容都以纯文本形式提供。

Answer 2

HTTPS 上的 Cookie 仅在设置了 secure flag 或从 HSTS 域提供时才是安全的。

否则，中间人可能会拦截 cookie。

假设您的网站是 example.com，并且只能通过 HTTPS 访问，并在其上设置 cookie。 Bob，您的受害者通过不安全的网络通过纯 HTTP 浏览 foo.com。

中间人 Mallory 可以拦截对 foo.com 的请求并注入

<img src="http://example.com" />

然后她拦截了对 example.com 的请求，其中包含 cookie - 现在 Mallory 将受害者的 cookie 发送到 example.com，并且可以以 Bob 的身份登录，即使你只通过 HTTPS 进行监听。

这是因为同源政策在 cookie 方面不那么严格。

现在你说的是 Bob 让他的机器保持登录状态，然后 Alice 稍后会来窃取他的会话。

您可以做一些security by obscurity 的事情并检查他们的用户代理和panopticlick fingerprint 是否相同。这将阻止不确定的黑客。

此外，您可以验证他们的 IP 是否与他们登录时使用的 IP 相同。这不会保护同一网络上的黑客，例如当 Bob 和 Alice 在同一个办公室工作时，但是它会阻止 Alice 回家然后使用会话详细信息。还要注意使用共享 IP 的 ISP（例如 AOL）和可能改变客户端 IP 地址的 ISP（例如 3/4G 提供商可能，或者当用户从移动接收切换到 WiFi 时）。